ISMS信息處理設(shè)備管理程序.doc
《ISMS信息處理設(shè)備管理程序.doc》由會員分享,可在線閱讀,更多相關(guān)《ISMS信息處理設(shè)備管理程序.doc(9頁珍藏版)》請在裝配圖網(wǎng)上搜索。
德信誠培訓(xùn)網(wǎng) 信息處理設(shè)備管理程序 1 適用與目的 本程序適用于公司與IT相關(guān)各類信息處理設(shè)施(包括各類軟件、硬件、服務(wù)、傳輸線路)的引進(jìn)、實施、維護(hù)等事宜的管理。 本程序通過對技術(shù)選型、驗收、實施、維護(hù)等過程中相關(guān)控制的明確規(guī)定來確保引進(jìn)的信息處理設(shè)施的保密性、完整性和可用性。 2信息處理設(shè)施的分類 2.1 研發(fā)控制系統(tǒng)、數(shù)據(jù)存儲控制系統(tǒng)及其子系統(tǒng)設(shè)備,包括位于機(jī)房的服務(wù)器和位于使用區(qū)域的使用控制系統(tǒng)終端設(shè)備。 2.2 業(yè)務(wù)管理系統(tǒng)、財務(wù)管理系統(tǒng),包括位于機(jī)房的服務(wù)器和位于使用區(qū)域的終端設(shè)備。 2.3 辦公用計算機(jī)設(shè)備,包括所有辦公室、會議室內(nèi)的計算機(jī)、打印機(jī),域控制服務(wù)器,DNS服務(wù)器、Email服務(wù)器等。 2.4 網(wǎng)絡(luò)設(shè)備,包括交換機(jī)、路由器、防火墻等。 2.5 其它辦公設(shè)備,包括電話設(shè)備、復(fù)印機(jī)、傳真機(jī)等。 3 職責(zé) 3.1 DXC主要負(fù)責(zé)全公司與IT相關(guān)各類信息處理設(shè)施及其服務(wù)的引進(jìn)。包括制作技術(shù)規(guī)格書、進(jìn)行技術(shù)選型、安裝和驗收等。DXC同時負(fù)責(zé)全公司網(wǎng)絡(luò)設(shè)備、研發(fā)控制系統(tǒng)、業(yè)務(wù)管理系統(tǒng)、財務(wù)管理系統(tǒng)日常管理與維護(hù)。 3.2 各部負(fù)責(zé)項目實施過程中設(shè)備及軟件系統(tǒng)的管理制度的執(zhí)行與維護(hù)。 3.3 DXC負(fù)責(zé)后勤系統(tǒng)設(shè)備及網(wǎng)絡(luò)系統(tǒng)、電話/網(wǎng)絡(luò)通訊與辦公系統(tǒng)的管理與維護(hù)。 4 信息處理設(shè)施的引進(jìn)和安裝 4.1引進(jìn)依賴 各部門必須采購的信息處理設(shè)施、外包開發(fā)信息系統(tǒng)項目或外包信息系統(tǒng)服務(wù),得到本部門經(jīng)理的批準(zhǔn)后,向DXC提交申請。DXC以設(shè)備投資計劃,技術(shù)開發(fā)計劃為依據(jù),結(jié)合對新技術(shù)的調(diào)查,作出是否引進(jìn)的評價結(jié)果并向提出部門返回該信息。 本公司禁止員工攜帶個人或私有信息處理設(shè)施(例如便攜式電腦、家用電腦或手持設(shè)備PDA等)處理業(yè)務(wù)信息。 4.2進(jìn)行技術(shù)選型 DXC負(fù)責(zé)對購入的信息處理設(shè)施的技術(shù)選型,并從技術(shù)角度對供應(yīng)商進(jìn)行評價。技術(shù)選型應(yīng)該包含以下幾方面:性能、相關(guān)設(shè)施的兼容性、協(xié)作能力、技術(shù)發(fā)展能力等。 4.3編寫購入規(guī)格書 DXC根據(jù)要求,負(fù)責(zé)編寫即將購入的信息處理設(shè)施的購入規(guī)格書。規(guī)格書中應(yīng)該包含技術(shù)規(guī)格、相關(guān)設(shè)施的性能(包括安全相關(guān)信息)、兼容性等要求,由DXC主管審批。 4.4定貨 由DXC按照公司采購流程,向經(jīng)理層提出購買要求,并提供選型結(jié)果。經(jīng)理層應(yīng)按照要求辦理定貨手續(xù)。 4.5開箱檢查,安裝、調(diào)試,驗收 a) 開箱檢查 設(shè)備到貨后,DXC應(yīng)負(fù)責(zé)開箱檢查,依照購買規(guī)格書和裝箱單核對數(shù)量及物品,確認(rèn)有無損壞并記錄。必要時,應(yīng)通知有關(guān)部門到場協(xié)同檢查。 b) 安裝、調(diào)試 引進(jìn)的設(shè)施到位后,根據(jù)合同要求,由相關(guān)人員進(jìn)行安裝、調(diào)試。在實施調(diào)試過程中出現(xiàn)的問題,必要時可通知相關(guān)部門共同進(jìn)行。 c) 驗收 安裝調(diào)試完成以后,DXC應(yīng)依據(jù)以下文件實施驗收: ·購入規(guī)格書 ·采購合同及其相關(guān)附件 ·調(diào)試時故障履歷 驗收原則上由DXC實施,必要時可要求相關(guān)部門參加。驗收的合格與否最終由DXC負(fù)責(zé)人作出判斷。 d) 驗收合格后,可向相關(guān)的使用部門移交。 5 信息處理設(shè)施的日常維護(hù)管理 5.1計算機(jī)設(shè)備管理 5.1.1 DXC負(fù)責(zé)計算機(jī)固定資產(chǎn)的標(biāo)識,標(biāo)識隨具體設(shè)備到使用各部門。計算機(jī)保管使用部門將計算機(jī)列入該部門信息資產(chǎn)清單。 5.1.2 各部門配備的計算機(jī)設(shè)備應(yīng)與本部門的日常經(jīng)營情況相適應(yīng),不得配備與工作不相符的高檔次或不必要的計算機(jī)設(shè)備。辦公場所不配備多媒體類計算機(jī)設(shè)備,原則上部門經(jīng)理以上配備筆記本電腦,因工作需要配備筆記本電腦的需經(jīng)主管副總批準(zhǔn)。 5.1.3 計算機(jī)使用部門需配備計算機(jī)設(shè)備時,應(yīng)按照本規(guī)定執(zhí)行。資產(chǎn)搬離安置場所,需要獲得部門經(jīng)理的授權(quán);遷移出公司,需要得到最高管理層的授權(quán)。 5.1.4 計算機(jī)使用部門填寫《物品領(lǐng)用單》,經(jīng)過本部門經(jīng)理簽字后提交行政部后領(lǐng)取計算機(jī)設(shè)備。計算機(jī)及附屬設(shè)備屬公司信息資產(chǎn),在行政部備案。有關(guān)計算機(jī)設(shè)備所帶技術(shù)說明書、軟件由行政部保存。使用部門的使用人應(yīng)妥善保管計算機(jī)及附屬設(shè)備,公用計算機(jī)設(shè)備由使用部門經(jīng)理指定專人負(fù)責(zé)使用管理。 5.1.5 離職時,應(yīng)將計算機(jī)交還DXC,由DXC注銷賬戶。 5.2計算機(jī)設(shè)備維護(hù) 5.2.1 計算機(jī)使用部門應(yīng)將每部計算機(jī)落實到個人管理。計算機(jī)使用人員負(fù)責(zé)計算機(jī)的日常維護(hù)和保養(yǎng);DXC按照《惡意軟件控制程序》要求進(jìn)行計算機(jī)查毒和殺毒工作。 5.2.2 計算機(jī)使用部門發(fā)現(xiàn)故障或異常,可先報公司XX管理員處理,如其無法解決,則由XX管理員填寫《事態(tài)事件脆弱性記錄》向供應(yīng)商申請維修。故障原因及處理結(jié)果應(yīng)記入《事態(tài)事件脆弱性記錄》。 5.3計算機(jī)調(diào)配與報廢管理 5.3.1 用戶計算機(jī)更新后,原來的計算機(jī)由DXC根據(jù)計算機(jī)的技術(shù)狀態(tài)決定調(diào)配使用或予以報廢處理。 5.3.2 含有敏感信息的計算機(jī)調(diào)配使用或報廢前,計算機(jī)使用部門應(yīng)與DXC共同采取安全可靠的方法將計算機(jī)內(nèi)的敏感信息清除。 5.3.3 調(diào)配 5.3.3.1 部門內(nèi)部的調(diào)配由使用部門自行處理,并通知DXC進(jìn)行計算機(jī)配置變更,變更執(zhí)行《更改控制程序》。 5.3.3.2 部門間的調(diào)配管理:DXC收回因更新等原因不用的計算機(jī)設(shè)備,由變更部門變更信息資產(chǎn)清單,并按照本程序5.1.3、5.1.4要求重新分配使用。 5.4報廢處理 5.4.1 計算機(jī)設(shè)備采用集中報廢處理。報廢前由DXC向行政部提出報廢,經(jīng)審核后由DXC實施報廢。 5.4.2 DXC按照批準(zhǔn)的處置方案進(jìn)行報廢處理,并變更固定資產(chǎn)清單。 5.5筆記本電腦安全管理 5.5.1 筆記本電腦應(yīng)由被授權(quán)的使用人保管;對于需多人共用的筆記本電腦,應(yīng)由部門負(fù)責(zé)人指定專人保管。 5.5.2 筆記本所帶附件應(yīng)由使用者本人或部門負(fù)責(zé)人指定專人保管。 5.5.3 筆記本電腦使用時應(yīng)防止惡意軟件的侵害,在系統(tǒng)中應(yīng)安裝防病毒軟件,并由使用人對其定期升級,對系統(tǒng)定期查殺,DXC負(fù)責(zé)監(jiān)督。 5.5.4 筆記本電腦在移動使用中,不能隨意拉接網(wǎng)絡(luò),需通過填寫《用戶授權(quán)申請表》向DXC提前提出需求,經(jīng)DXC審批后方能接入網(wǎng)絡(luò)。 5.6計算機(jī)安全使用的要求 5.6.1 計算機(jī)設(shè)備為公司財產(chǎn),應(yīng)愛惜使用,按照正確的操作步驟操作。 5.6.2 使用計算機(jī)時應(yīng)遵循信息安全策略要求執(zhí)行。 5.6.3 員工入職時,由其所在部門的部門經(jīng)理根據(jù)該員工權(quán)限需要填寫《用戶授權(quán)申請表》,向研發(fā)部提出用戶開戶申請;離職時也需填寫《用戶授權(quán)申請表》通知研發(fā)部辦理銷戶。 5.6.4 新域用戶名為用戶姓名的拼音(有重名時另設(shè)),初始缺省密碼為XXXXX。用戶在第一次登錄系統(tǒng)時應(yīng)變更密碼,密碼需要設(shè)置在6位以上(英文字母、數(shù)字或符號組合的優(yōu)質(zhì)密碼)并注意保密。 5.6.5 各人使用自己的賬戶登錄,未經(jīng)許可不得以他人用戶名登錄。若用戶遺忘密碼,應(yīng)及時向研發(fā)部申請新密碼后登錄。 5.6.6 不得使用計算機(jī)設(shè)備處理正常工作以外的事務(wù)。 5.6.7 計算機(jī)的軟硬件設(shè)置管理由研發(fā)部進(jìn)行,未經(jīng)許可,任何人不得更換計算機(jī)硬件和軟件。 5.6.8 研發(fā)部負(fù)責(zé)初始軟件的安裝,公司嚴(yán)禁個人私自安裝和更改任何軟件。計算機(jī)用戶的軟件安裝與升級按照《更改控制程序》執(zhí)行。拒絕使用來歷不明的軟件和光盤。 5.6.9 嚴(yán)禁亂拉接電源,以防造成短路或失火。 5.6.10 計算機(jī)桌面要保持清潔,不得將秘密和(或)受控文件直接放置在桌面;計算機(jī)桌面必須設(shè)置屏幕保護(hù),恢復(fù)時需用密碼確認(rèn)(執(zhí)行密碼口令管理規(guī)定)。鎖屏?xí)r間可根據(jù)自己工作習(xí)慣設(shè)置鎖屏?xí)r間,但最高不得高于5分鐘。各部門負(fù)責(zé)人進(jìn)行監(jiān)督。 5.7網(wǎng)絡(luò)安全使用的要求 5.7.1 對于網(wǎng)絡(luò)連接供應(yīng)商,充分考慮其口碑和現(xiàn)有安全防范措施,在簽署保密協(xié)議的基礎(chǔ)上加以篩選。 5.7.2 對內(nèi)設(shè)置必要的路由器防火墻,采用HTTP、FTP的連接方式,捆綁固定IP地址防止權(quán)限濫用。 6 信息處理設(shè)施的日常點(diǎn)檢 6.1 計算機(jī)的日常點(diǎn)檢 日常點(diǎn)檢的目的是確認(rèn)系統(tǒng)硬件是否運(yùn)行良好,有無硬件及程序上的報警,備份是否正常進(jìn)行等。點(diǎn)檢的流程、責(zé)任、項目、點(diǎn)檢周期和記錄表詳由相應(yīng)部門制定。如出現(xiàn)在檢查期人員外出等不在崗情況,需要在返回工作崗位時,立即補(bǔ)充完善。 6.2 網(wǎng)絡(luò)設(shè)備的管理與維護(hù) 點(diǎn)檢的流程、責(zé)任、項目、點(diǎn)檢周期和記錄表由DXC負(fù)責(zé),特別的,在點(diǎn)檢中應(yīng)包括對MAIL的點(diǎn)檢。 6.3 點(diǎn)檢策略 6.3.1 所有存在于計算機(jī)、網(wǎng)絡(luò)設(shè)備上的服務(wù)、入侵檢測系統(tǒng)、防火墻和其他網(wǎng)絡(luò)邊界訪問控制系統(tǒng)的系統(tǒng)審核、賬號審核和應(yīng)用審核日志必須打開,如果有警報和警示功能必須打開。 6.3.2 審核日志必須保存一定的期限,任何個人和部門不得以任何理由刪除保存期之內(nèi)的日志。 6.3.3 審核日志必須由該系統(tǒng)管理員定期檢查,特權(quán)使用、非授權(quán)訪問的試圖、系統(tǒng)故障和異常等內(nèi)容應(yīng)該得到評審,以查找違背信息安全的征兆和事實。 6.3.4 入侵檢測系統(tǒng)必須處于啟動狀態(tài),日志保存一定的期限,定期評審異常現(xiàn)象,對所有可疑或經(jīng)確認(rèn)的入侵行為和入侵企圖需及時匯報并采取相應(yīng)的措施。 6.3.5 日志的配置最低要求 設(shè)備類型 日志內(nèi)容 保存周期 檢查周期 服務(wù)系統(tǒng) 對外提供服務(wù)的 a)用戶標(biāo)識符(ID); b)登錄和注銷事件; c)若可能,終端位置; d)成功的失敗的登錄試圖。 ≥6個月 ≤2周 直接用于設(shè)計、存儲、檢測的控制、管理和查詢系統(tǒng) ≥12個月 ≤2周 全公司辦公系統(tǒng) ≥6個月 ≤5周 部門內(nèi)部服務(wù)器 ≥6個月 ≤5周 其他服務(wù)器 ≥6個月 ≤5周 防火墻和路由器 系統(tǒng)配置更改日志 ≥1個月 ≤5周 訪問日志(方向、流量) ≥1個月 ≤5周 VPN網(wǎng)關(guān) a)用戶標(biāo)識符(ID); b)登錄和注銷事件; c)終端位置; d)成功的失敗的登錄試圖。 ≥1周 ≤1周 入侵檢測系統(tǒng) 異常網(wǎng)絡(luò)連接的時間、IP、入侵類型 ≥3個月 ≤5周 遠(yuǎn)程訪問系統(tǒng) a)用戶標(biāo)識符(ID); b)登錄和注銷事件; c)終端位置; d)成功的失敗的登錄試圖。 ≥3個月 ≤5周 6.3.6 DXC網(wǎng)絡(luò)管理員根據(jù)系統(tǒng)的安全要求確認(rèn)其日志內(nèi)容、保存周期、檢查周期,其最低要求不得低于上表的要求。如果因為日志系統(tǒng)本身原因不能滿足上表的最低要求,需要降低標(biāo)準(zhǔn)的,必須得到DXC主管或管理者代表的批準(zhǔn)和備案。 6.3.7 DXC網(wǎng)絡(luò)管理員配置日志系統(tǒng),并定期檢查日志內(nèi)容,評審安全情況。評審的內(nèi)容包括:授權(quán)訪問、特權(quán)操作、非授權(quán)的訪問試圖、系統(tǒng)故障與異常等情況,評審結(jié)束應(yīng)形成《日志檢查記錄》。 6.4 資料的保存 6.4.1 設(shè)備的技術(shù)資料由設(shè)備所在的部門交由行政部保存并建立《受控文件和資料發(fā)放清單》,以備日后查閱。 6.4.2 設(shè)備廠商對設(shè)備進(jìn)行維修后提供的維修(維護(hù))記錄單,由DXC保存,以備日后查詢。 6.5 網(wǎng)絡(luò)掃描工具的安全使用管理 6.5.1 對網(wǎng)絡(luò)掃描工具的使用,必須得到管理者代表的授權(quán),并保存使用的記錄。 7 其它要求 涉及應(yīng)用系統(tǒng)軟件的開發(fā)(包括外包軟件開發(fā))的項目,還需執(zhí)行《系統(tǒng)開發(fā)與維護(hù)控制程序》的相關(guān)要求。 8 相關(guān)文件 2 《系統(tǒng)開發(fā)與維護(hù)控制程序》 2 《系統(tǒng)邏輯訪問管理制度》 9 記錄 記錄名稱 保存部門 保存期限 《用戶授權(quán)申請表》 3年 《日志檢查評審記錄》 5年 《變更申請表》 3年 《日常點(diǎn)檢記錄表》 3年 更多免費(fèi)資料下載請進(jìn):http://www.55top.com 好好學(xué)習(xí)社區(qū)- 1.請仔細(xì)閱讀文檔,確保文檔完整性,對于不預(yù)覽、不比對內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
3 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計者僅對作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- ISMS 信息處理 設(shè)備 管理程序
鏈接地址:http://www.820124.com/p-1469171.html